Upravljane identitete, dodeljene v sistemu, v Azureju imajo omejitve, ko gre za konfiguracije požarnega zidu, predvsem zaradi njihove prirojene narave in o tem, kako sodelujejo z nastavitvami omrežja. Tu je nekaj ključnih točk, ki jih je treba upoštevati:
1. Pomanjkanje neposrednega nadzora požarnega zidu: Upravljene identitete, dodeljene sistemu, samodejno ustvarijo in upravljajo z Azure Resources. Ne zagotavljajo neposrednega nadzora nad konfiguracijami požarnega zidu. To pomeni, da če morate za vir uporabljati določena pravila požarnega zidu, se vam zdi bolj zahtevna pri identitetah, dodeljenih sistemu, v primerjavi s uporabniško dodeljenimi, ki jih je mogoče upravljati bolj fleksibilno.
2. Identiteta, specifična za vire,: sistemske identitete, dodeljene sistemu, so vezane na življenjski cikel vira, ki mu je dodeljen. To pomeni, da če morate uporabiti dosledna pravila požarnega zidu v več virih, uporaba identitet, dodeljenih sistemu, morda ni tako učinkovita, kot je uporaba identitet, dodeljenih uporabnikom, ki jih je mogoče deliti v virih.
3. Omejena fleksibilnost v omrežni konfiguraciji: Ker se sistemske identitete samodejno upravljajo, ne ponujajo enake ravni prilagodljivosti pri konfiguraciji omrežnih nastavitev, vključno s pravili požarnega zidu, kot to počnejo uporabniki. To je lahko omejitev, če morate implementirati zapletene konfiguracije varnosti omrežja.
4. Omejitve osvežitve in posodobitve: Spremembe dovoljenj ali članstva v skupini za upravljane identitete, vključno s sistemom, lahko trajajo nekaj ur za širjenje zaradi predpomnjenja žetona. Ta zamuda lahko vpliva na to, kako hitro začnejo veljati spremembe pravila požarnega zidu, če se zanašajo na dovoljenja za identiteto.
Na splošno, medtem ko so upravljane identitete, dodeljene sistemu, primerne za preproste scenarije in se držijo načela najmanjših privilegijev, morda niso idealne za zapletene konfiguracije požarnega zidu ali scenarije, ki zahtevajo več nadzora nad nastavitvami omrežne varnosti.
Navedbe:
[1] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-best-practice-reComventions
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identy_vs_user_ssigned_managed/
[4] https://www.cisco.com/c/sl/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/identy-overview.html
[5] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-managed-Service-identy
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-identy
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identes_and_setting_mandatory_permissions_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-assigned-managed-identy/